Les environnements industriels de l’internet des objets, par exemple pour la conduite autonome, les machines dans le domaine de la santé ou les systèmes tactiques militaires, utilisent souvent un protocole propriétaire appelé service de distribution de données (DDS) pour l’échange de données. Les chercheurs ont maintenant découvert des failles de sécurité dans diverses implémentations pour lesquelles les mises à jour de sécurité ne sont que partiellement disponibles.
« DDS a été développé pour les besoins industriels et se trouve au cœur du réseau de contrôle. Cela signifie qu’un nombre quelconque de points d’extrémité, tels que des capteurs ou des actionneurs, peuvent être interconnectés de manière transparente. […] communiquer, […] quelle que soit la complexité des données », expliquent les chercheurs Ta-Lun Yen, Federico Maggi et Erik Boasson dans leur protocole. De cette façon, une éolienne pourrait communiquer des états réels via DDS au contrôleur central, qui réagit à ces états en donnant des instructions de commande à l’éolienne. De plus amples informations sur le protocole sont disponibles auprès de la Fondation DDS.
Sommaire
Versions présentant des failles de sécurité
Les chercheurs ont découvert des erreurs relatives à la sécurité dans diverses implémentations de DDS et les ont signalées à l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA). Le CISA confirme l’analyse des chercheurs et classe la gravité des failles entre moyenne et élevée (score CVSS jusqu’à 8,6). Diverses implémentations du protocole DDS sont concernées :
- Eclipse CycloneDDS avant la version 0.8.0
- eProsima Fast DDS avant la version 2.4.0
- GurumDDS toutes les versions
- OCI OpenDDS avant la version 3.18.1
- RTI Connext DDS Professional et Connext DDS Secure dans les versions 4.2.x à 6.1.0 ainsi que Connext DDS Micro version 2.4 et plus.
- TwinOaks Computing CoreDX DDS avant la version 5.9.1
Utilisé dans les grandes entreprises
Cela risque de toucher des rangées et des rangées de géants de l’industrie. La Fondation Eclipse, par exemple, cite comme utilisateurs le fournisseur de PI pour processeurs ARM, Intel, Bosch et LG, entre autres. Des entreprises réputées dans le domaine de l’aérospatiale et de la défense ainsi que la NASA utilisent apparemment OpenDDS. Des mises à jour sont disponibles pour la plupart des implémentations concernées et comblent les lacunes. Toutefois, selon Security Advisory, la CISA américaine n’a pas réussi à joindre la société sud-coréenne Gurum, ce qui explique que l’état de la mise à jour ne soit pas clair.